Řízení bezpečnostních incidentů

V dnešních složitých informačních prostředích jsou administrátoři ICT zaplavováni provozními daty z nejrůznějších systémů a zařízení rozmístěných po celém podniku. Shromažďování těchto dat a jejich transformace do užitečných informací představuje značný problém a to zejména z důvodu značné časové náročnosti. Prostřednictvím konsolidace a transformace bezpečnostních dat lze účinně redukovat nepřehledné množství logů a zjednodušit analýzu dat a hodnocení situace. Tím se minimalizují náklady na správu řešení implementovaných v různých vrstvách i složitost správy.
Cílem implementace řízení bezpečnostních incidentů a monitoringu bezpečnosti je dosažení schopnosti průběžně a efektivně reagovat v oblasti informační bezpečnosti na vnější a vnitřní bezpečnostní incidenty a aktivně řídit informační bezpečnost. Systém poskytuje organizaci objektivní informace o stavu informační bezpečnosti a tak poskytuje zpětnou vazbu pro řízení celého ICT, zároveň je významným prvkem pro zajištění shody s mnoha regulačními pravidly.
Monitorování stavu aplikovaných bezpečnostních opatření, řízení řešení vzniklých incidentů a získávání zpětné vazby o skutečných rizicích je nezbytné k efektivnímu řízení bezpečnosti informačních a komunikačních technologií. Tuto skutečnost odráží i regulační pravidla jako Sarbanes- Oxley nebo BASEL II. Nasazení automatizovaných nástrojů bezpečnostního monitoringu je vzhledem k vyloučení možných chyb při manuálním monitoringu velmi kladně hodnoceno kontrolními orgány.

Řízení bezpečnostních incidentů v oblasti informačních technologií je založeno na doporučení mezinárodních norem:

  • ČSN ISO/IEC 27001 Informační technologie – systém managementu bezpečnosti informací,
  • ISO/IEC 27004 Information technology -- Security techniques – Information security management measurements,
  • ISO/IEC 18044 -- Information technology – Security techniques – Information Security Incident Management.

Řízení bezpečnostních incidentů předpokládá:

  • vytvoření politiky a plánu řešení incidentů,
  • vytvoření provozních procedur řešení incidentů a nastavení komunikačního modelu,
  • výběr personálu a ustavení pracovního týmu pro řešení bezpečnostních incidentů (Incident response team)
  • definování odpovědností a pravomocí týmu,
  • nastavení vazeb mezi týmem pro řešení incidentů a ostatními pracovními týmy uvnitř i vně společnosti,

Řízení bezpečnostních incidentů a monitorování bezpečnosti se opírá o získání detailních informací souvisejících s provozem informačních systémů. K efektivnímu získávání a vyhodnocování těchto informací z rozsáhlé infrastruktury je třeba nasazení technických prostředků a to zejména:

  • Systému pro automatizovaný sběr a vyhodnocování událostí SIEM (Security Information and Event Management), tj. nástroj pro sběr, korelaci, kategorizaci a analýzu událostí z různých zdrojů
  • Systému pro prevenci průniku IPS a to jak na úrovní datových síti (network based), tak na úrovni jednotlivých zařízení a aplikací (host based)